Compartir a través de

Habilitación de la administración de la posición de seguridad de datos

En este artículo se describe cómo habilitar la administración de la posición de seguridad de datos en Microsoft Defender for Cloud.

Antes de empezar

  • Antes de habilitar la administración de la posición de seguridad de los datos, revise el soporte técnico y los requisitos previos.
  • Cuando habilitas Defender CSPM o los planes de Defender para Almacenamiento, la extensión de detección de datos confidenciales se habilita automáticamente. Puede deshabilitar esta configuración si no desea usar la administración de la posición de seguridad de datos, pero se recomienda usar la característica para obtener el máximo valor de Defender for Cloud.
  • Los datos confidenciales se identifican en función de la configuración de confidencialidad de datos en Defender for Cloud. Puede personalizar la configuración de confidencialidad de datos para identificar los datos que su organización considera confidenciales.
  • Se tarda hasta 24 horas en ver los resultados de un primer descubrimiento después de activar la función.

Habilitación en la CSPM de Defender (Azure)

Siga estos pasos para habilitar la administración de la posición de seguridad de los datos. No olvide revisar los permisos necesarios antes de empezar.

  1. Vaya a Microsoft Defender for Cloud>Configuración del entorno.

  2. Seleccione la suscripción de Azure correspondiente.

  3. Para el plan de CSPM de Defender, seleccione el estado Activado .

    Si CSPM de Defender ya está activado, seleccione Configuración en la columna Cobertura de supervisión del plan de CSPM de Defender y asegúrese de que el componente detección de datos confidenciales esté establecido en Estado Activado .

  4. Una vez activada la detección de datos confidenciales en CSPM de Defender, incorporará automáticamente compatibilidad con tipos de recursos adicionales a medida que se expande el intervalo de tipos de recursos admitidos.

Habilitación en la CSPM de Defender (AWS)

Antes de empezar en AWS

  • No olvide: revise los requisitos para la detección de AWS y los permisos necesarios.
  • Compruebe que no haya ninguna directiva que bloquee la conexión a los cubos de Amazon S3.
  • Se admite el cifrado KMS entre cuentas para las instancias de RDS, pero las políticas adicionales sobre el acceso a KMS podrían impedir el acceso.

Habilitación para recursos de AWS

Cubos de S3 e instancias de RDS

  1. Habilitación de la posición de seguridad de datos tal y como se ha descrito anteriormente
  2. Continúe con las instrucciones para descargar la plantilla de CloudFormation y ejecutarla en AWS.

La detección automática de cubos de S3 en la cuenta de AWS se inicia automáticamente.

En el caso de los cubos S3, el escáner de Defender for Cloud se ejecuta en su cuenta de AWS y se conecta a los cubos de S3.

En el caso de las instancias de RDS, la detección se desencadenará una vez activada la detección de datos confidenciales . El escáner tomará la instantánea automatizada más reciente de una instancia, creará una instantánea manual dentro de la cuenta de origen y la copiará a un entorno aislado de propiedad de Microsoft dentro de la misma región.

La instantánea se usa para crear una instancia activa que se activa, examina y, a continuación, se destruye inmediatamente (junto con la instantánea copiada).

La plataforma de escaneo notifica solo los resultados del escaneo.

Diagrama que explica la plataforma de análisis de RDS.

Comprobación de las directivas de bloqueo de S3

Si el proceso de habilitación no funcionó debido a una directiva bloqueada, compruebe lo siguiente:

  • Asegúrese de que la política del bucket S3 no bloquee la conexión. En el cubo de AWS S3, seleccione la pestaña Permisos y la directiva de cubos >. Compruebe los detalles de la directiva para asegurarse de que el servicio de escáner de Microsoft Defender for Cloud que se ejecuta en la cuenta microsoft de AWS no está bloqueado.
  • Asegúrese de que no haya ninguna directiva SCP que bloquee la conexión al cubo S3. Por ejemplo, la directiva SCP podría bloquear las llamadas API de lectura a la región de AWS donde se aloja el bucket S3.
  • Compruebe que la directiva de SCP permite estas llamadas API necesarias: AssumeRole, GetBucketLocation, GetObject, ListBucket, GetBucketPublicAccessBlock
  • Compruebe que la directiva de SCP permite llamadas a la región de AWS us-east-1, que es la región predeterminada para las llamadas API.

Habilitación de la supervisión con reconocimiento de datos en Defender for Storage

La detección de amenazas de datos confidenciales está habilitada de forma predeterminada cuando el componente de detección de datos confidenciales está habilitado en el plan de Defender para Storage. Más información.

Solo se analizarán los recursos de Azure Storage si el plan CSPM de Defender está desactivado.

Pasos siguientes

Revisión de los riesgos de seguridad en los datos

  • Last updated on